Trop facile. Microsoft introduit la modération pour le référentiel de packages Winget après un pic de mauvaises soumissions

  • FrançaisFrançais


  • Microsoft a introduit la modération humaine pour les packages soumis au référentiel pour son nouveau gestionnaire de packages Winget, à la suite d’un pic de soumissions en double et/ou incorrectes.

    Le gestionnaire de packages Windows, également connu sous le nom de Winget, a été publié lors de l’événement Microsoft Build la semaine dernière. À l’époque, Demitrius Nelon, responsable de programme senior, a souligné à quel point il était facile de soumettre des packages au référentiel, en introduisant un outil appelé Windows Package Manager Manifest Creator.

    Les utilisateurs exécutent simplement l’outil, en fournissant l’URL au programme d’installation du package cible. “Ensuite, l’outil téléchargera le programme d’installation, l’analysera pour déterminer l’une des valeurs de manifeste disponibles dans le programme d’installation et vous guidera tout au long du processus pour générer un manifeste valide. Si vous fournissez vos informations d’identification GitHub lorsque vous y êtes invité, il bifurquera même le référentiel , créez une nouvelle branche, soumettez une pull request et vous fournissez l’URL pour suivre sa progression”, a déclaré Nelon.

    Il est devenu évident que, comme tout après cette étape était automatisé, Microsoft avait exposé le référentiel à toutes sortes de problèmes. Les passionnés de Windows, soucieux d’étendre l’utilité du référentiel, ont ajouté leurs packages favoris sans vérifier s’il était déjà inclus.

    Dans d’autres cas, de mauvais manifestes étaient générés car les utilisateurs n’avaient pas réfléchi à toutes les implications de la création d’un package, par exemple un lien vers une URL d’installation qui expirerait quelques jours plus tard, ou qui nécessitait une entrée de l’utilisateur. Un autre problème était les demandes d’extraction qui écrasaient les bons manifestes existants par de pires substituts.

    Un utilisateur concerné a ouvert un problème GitHub appelé “Modération nécessaire”, montrant l’étendue du problème.

    De nombreux packages bien connus ont été affectés, tels que le client iCloud d’Apple, le runtime Steam de Valve et le programme d’installation des réunions Zoom. Bien qu’il y ait eu quelques efforts bruts de protection contre les logiciels malveillants, chaque téléchargement étant soumis à VirusTotal, le système était ouvert aux abus.

    « Que se passerait-il si j’envoyais un PR qui provoquait l’installation de Firefox à la place du package Chrome ? Est-ce que des vérifications l’empêcheraient d’être automatiquement fusionné ? » a déclaré un utilisateur.

    Ils ont ajouté que “sans aucune propriété de Microsoft ou des canaux officiels de développement d’applications, les manifestes de packages Winget peuvent ou non être mis à jour en temps opportun, voire pas du tout, et sans aucune pratique ou politique concernant les architectures, les canaux de publication, les configurations de déploiement, etc. , les utilisateurs peuvent obtenir des versions 32 bits sur leur machine 64 bits lorsque des versions 64 bits existent, ou être bloqués sur de très anciennes versions, ou obtenir des versions cassées au lieu de versions stables.”

    Peu de temps après, Nelon a commenté que : « La ‘fusion automatisée’ a été arrêtée » et a promis d’autres changements.

    Hier, Nelon a déclaré que “les administrateurs de l’équipe Windows Package Manager commenceront à examiner manuellement les soumissions pour réduire le nombre de soumissions en double et les manifestes avec des métadonnées sous-optimales. Nous avons également mis en place une modération pour aider à maintenir la qualité du catalogue de la communauté. “

    Il a répertorié 12 modérateurs Microsoft et 2 modérateurs de la communauté, et a lancé une nouvelle discussion sur la façon dont la future modération devrait être gérée.

    Il existe également un plan pour avoir des éditeurs vérifiés, ce qui, selon Nelon, est “presque complet”.

    Pourquoi avant l’AG ?

    L’aspect surprenant de cette affaire est que Microsoft n’avait apparemment pas pris en compte tous les aspects de fiabilité et de sécurité de l’introduction d’un gestionnaire de paquets officiel pour Windows avant sa disponibilité générale. L’entreprise consacre d’énormes ressources à la sécurité de Windows et il est essentiel de garantir un référentiel de packages propre, fiable et digne de confiance.

    Nelon a déclaré: “Je ne pense pas qu’un seul individu puisse être un expert dans tous les cas extrêmes avec des installateurs et des logiciels tiers. Cela va être un effort d’équipe. Nous apprendrons tous ensemble, et nous ferons probablement tous erreurs… notre façon de penser et nos solutions évolueront avec le temps.”

    Assez bien, mais cela ressemble à un travail qui aurait dû être fait avant plutôt qu’après le déploiement général. ®

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *